[发明专利]一种攻击团伙识别方法、装置、设备及介质

权利要求书

1.一种攻击团伙识别方法，其特征在于，包括：

S1、连接具有网络行为日志数据的数据库，从所述数据库中提取需要进行聚类的数据；对所述数据进行标准化处理，得到标准化处理后的数据；

S2、使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理，得到异常数据集合；

S3、对所述异常数据集合进行攻击团伙的确定处理，得到攻击团伙数据；

所述步骤S2包括：

S21、输入标准化处理后的数据作为数据集合，对所述数据集合进行去除孤立点处理，得到去除孤立点后的数据集合；

S22、根据所述数据集合的样本总数，得到初始聚类数；

S23、将所述聚类数与所述数据集合的样本总数输入至传统k-means算法中进行聚类，得到聚类结果；

S24、判断是否有增量数据到达所述数据库，若有增量数据到达，则从所述增量数据中随机抽取少量增量数据样本点，计算抽取出的所述少量增量数据样本点到所述聚类结果中各质心的距离，将所述增量数据划分到距离所述少量增量数据样本点最近的质心所在聚类中；

S25、根据所述聚类结果，计算所有聚类的质心之间的距离，将聚类的质心距离小于所有聚类质心距离平均值的对应质心所在聚类进行合并，得到合并后的聚类结果；根据所述合并后的聚类结果，更新聚类数，并重新计算各聚类的质心；

S26、计算所述合并后的聚类结果中各聚类的动态阈值；

S27、将所述数据集合各聚类中的样本点与所在聚类的质心的距离小于动态阈值的样本点取出，进行反标准化处理，还原为真实数据后放入异常数据集合中，更新所述异常数据集合；

S28、更新所述数据集合，所述数据集合中为取出所述异常数据集合中样本点后的剩余数据，判断所述数据集合中的样本点数量是否满足设定条件，若所述样本点数量不满足设定条件，则执行步骤S23，若所述样本点数量满足设定条件，则输出所述异常数据集合；

所述步骤S3包括：

S31、根据所述异常数据集合，确定在同一时间对同一目标发起的协同攻击中的攻击者，并将所述协同攻击中的攻击者划归为同一组，得到初步的攻击团伙分组；

S32、将所述初步攻击团伙分组中具有攻击者重叠或攻击行为相似的分组进行合并，得到合并后的攻击团伙分组；

S33、去掉所述合并后的攻击团伙分组中的偶然攻击者；提取出每个合并后的攻击团伙分组的核心成员，得到攻击团伙。

2.根据权利要求1所述的一种攻击团伙识别方法，其特征在于，所述对所述数据进行标准化处理，得到标准化处理后的数据，包括：

判断所述数据是否标准化；若否，则对所述数据进行标准化处理，得到标准化处理后的数据；若是，则将所述数据作为标准化处理后的数据。

3.根据权利要求2所述的一种攻击团伙识别方法，其特征在于，所述对所述数据进行标准化处理，包括：

对所述数据的单位进行统一，将统一单位后的数据按比例进行缩放，使所述统一单位后的数据映射到特定区间上。

4.根据权利要求1所述的一种攻击团伙识别方法，其特征在于，所述步骤S21中，对所述数据集合进行去除孤立点处理，包括：

S2101、计算所述数据集合中的样本点与其余任意样本点的欧氏距离之和，并计算所述数据集合中所有样本点的欧氏距离之和的算术平均数；其中，且，为数据集合中的样本数量；

S2102、判断数据集合的样本点的欧氏距离之和与的数量关系，若，则判断所述样本点为孤立点；其中，为数据集合中的样本总数。

5.根据权利要求1所述的一种攻击团伙识别方法，其特征在于，所述步骤S26中，所述动态阈值的计算方法，包括：

各聚类中的样本点到所在聚类的质心的算术平均数的一半。